Red Hat ha publicado una actualización de openssl para sus Enterprise
Linux 2.1 debido a que se han detectado en dicho componente
vulnerabilidades que pueden ser explotadas por usuarios maliciosos
para provocar denegaciones de servicio.
* Una asignación de puntero nulo en la función
‘do_change_cipher_spec()’ utilizada durante la negociación SSL/TLS
puede ser explotada para provocar la caída de OpenSSL.
* Un error sin especificar en un parche añadido a OpenSSL 0.9.6d hace
un tiempo puede ser utilizado para provocar bucles infinitos.
* Un error de lectura fuera de límites puede darse en una rutina usada
durante la negociación SSL/TLS cuando se usan las ciphersuites
Kerberos.
Red Hat recomienda actualizar los sistemas afectados vía Red Hat
Network:
http://rhn.redhat.com/
Más Información:
openssl security update
http://rhn.redhat.com/errata/RHSA-2005-829.html
Julio Canto
jcanto@hispasec.com